记一次Linux服务器上查杀木马经历
2015-08-24 15:09
483 查看
开篇前言Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由于一来Linux本身的安全机制,Linux上的病毒、木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒、木马;以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前,我对Linux的安全性方面的认识、重视程度也是有所不足的。系统的安全性是相对而言的,没有绝对的安全,风险无处不在。案例描述我们在云端(中信国际电讯CPC)的一台Linux应用服务器时不时出现网络中断情况,最开始反馈到系统管理员和网络管理员哪里,以为是网络方面的问题。在监控系统后,发现在一些时间段出现高流量的情况,分析发现这台Linux服务器只安装了Tomcat应用程序,没有任何其它应用程序。产生如此大的流量很不正常,而且出现网络中断的时刻,就是系统产生高流量的时刻。当然这些都是我后来才了解到的一些情况,我没有这台服务器的权限,系统管理员找我看看能分析出啥问题,所以将root账号权限给了我。案例分析我连接到服务器后,运行ifconfig命令,检查网卡的发送、接收数据情况,如下所示,网卡eth0累计发送了12.3TB的数据。这明显不太正常,显然有应用程序一直在往外发包。我特意对比了另外一台正常的服务器后,验证了这个事实。
那么是那个应用程序在一直往外发送包呢?我首先检查了Linux系统日志,发现了一些错误、告警信息。但是作用不大。于是在服务器上安装了NetHogs应用程序,实时监控Linux进程的网络带宽占用情况。
监控过程确实发现了一些异常情况的进程:
1:/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys一直在往外发包2:/usr/bin/bsd-port/agent一直在往外发包。3:./cmys一直在往外发包4:不时出现下面大量异常进程
那么是那个应用程序在一直往外发送包呢?我首先检查了Linux系统日志,发现了一些错误、告警信息。但是作用不大。于是在服务器上安装了NetHogs应用程序,实时监控Linux进程的网络带宽占用情况。
监控过程确实发现了一些异常情况的进程:
[root@LNX17/]#ps-ef|grepgetty
root201210May22tty200:00:00/sbin/mingetty/dev/tty2
root201410May22tty300:00:00/sbin/mingetty/dev/tty3
root201810May22tty400:00:00/sbin/mingetty/dev/tty4
root202010May22tty500:00:00/sbin/mingetty/dev/tty5
root202210May22tty600:00:00/sbin/mingetty/dev/tty6
root1383532735001:02pts/000:00:00grepgetty
[root@LNX17tmp]#ll/usr/bin/bsd-port/
total2324
-rwxr-xr-x.1rootroot1135000Jul1708:28agent
-rwxr-xr-x.1rootroot4Jul1708:28agent.conf
-rw-r--r--.1rootroot27Jul2112:42cmd.n
-rw-r--r--.1rootroot73Aug2121:30conf.n
-rwxr-xr-x.1rootroot1223123Aug2104:08getty
-rwxr-xr-x.1rootroot5Aug2104:08getty.lock
搜索/usr/bin/bsd-port/agent等进程相关资料,发现很多关于木马、后门方面的文章,严重怀疑服务器被挂马了。手工杀进程或手工删除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys文件,发现不过一会儿,又会出现相同的进程和文件。于是下载安装了AVGANTIVIRUSFREE-FORLINUX这款杀毒软件,但是启动服务失败,不想折腾,于是安装了ClamAV杀毒软件
ClamAV介绍
ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。
下载ClamAV安装包
ClamAV的官方下载地址为
[root@LNX17tmp]#wget --2015-08-21'target='_blank'>http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz--2015-08-2121:58:36-- Resolving'target='_blank'>http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gzResolvingnchc.dl.sourceforge.net...211.79.60.17,2001:e10:ffff:1f02::17Connectingtonchc.dl.sourceforge.net|211.79.60.17|:80...connected.HTTPrequestsent,awaitingresponse...200OKLength:14765896(14M)[application/x-gzip]Savingto:“clamav-0.97.6.tar.gz”100%[==============================================================>]14,765,896652K/sin71s2015-08-2121:59:48(204KB/s)-“clamav-0.97.6.tar.gz”saved[14765896/14765896][root@LNX17tmp]#wget --2015-08-21'target='_blank'>http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz--2015-08-2122:00:24-- Resolving'target='_blank'>http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gzResolvingnchc.dl.sourceforge.net...211.79.60.17,2001:e10:ffff:1f02::17Connectingtonchc.dl.sourceforge.net|211.79.60.17|:80...connected.HTTPrequestsent,awaitingresponse...200OKLength:560351(547K)[application/x-gzip]Savingto:“zlib-1.2.7.tar.gz”100%[=============================================================>]560,351287K/sin1.9s2015-08-2122:00:26(287KB/s)-“zlib-1.2.7.tar.gz”saved[560351/560351]
1、zlib-1.2.7.tar.gz安装[root@LNX17tmp]#tarxvzfzlib-1.2.7.tar.gz[root@LNX17tmp]#cdzlib-1.2.7[root@LNX17zlib-1.2.7]#./configureCheckingforgcc...Checkingforsharedlibrarysupport...Buildingsharedlibrarylibz.so.1.2.7withgcc.Checkingforoff64_t...Yes.Checkingforfseeko...Yes.Checkingforstrerror...Yes.Checkingforunistd.h...Yes.Checkingforstdarg.h...Yes.Checkingwhethertousevs
printf()ors
printf()...usingvs
printf().Checkingforvsnprintf()instdio.h...Yes.Checkingforreturnvalueofvsnprintf()...Yes.Checkingforattribute(visibility)support...Yes.Lookingforafour-byteintegertype...Found.[root@LNX17zlib-1.2.7]#make&&makeinstallgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-I.-c-oexample.otest/example.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-oadler32.oadler32.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ocrc32.ocrc32.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-odeflate.odeflate.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-oinfback.oinfback.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-oinffast.oinffast.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-oinflate.oinflate.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-oinftrees.oinftrees.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-otrees.otrees.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ozutil.ozutil.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ocompress.ocompress.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ouncompr.ouncompr.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ogzclose.ogzclose.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ogzlib.ogzlib.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ogzread.ogzread.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-c-ogzwrite.ogzwrite.carrclibz.aadler32.ocrc32.odeflate.oinfback.oinffast.oinflate.oinftrees.otrees.ozutil.ocompress.ouncompr.ogzclose.ogzlib.ogzread.ogzwrite.ogcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-oexampleexample.o-L.libz.agcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-I.-c-ominigzip.otest/minigzip.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-ominigzipminigzip.o-L.libz.agcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/adler32.oadler32.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/crc32.ocrc32.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/deflate.odeflate.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/infback.oinfback.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/inffast.oinffast.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/inflate.oinflate.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/inftrees.oinftrees.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/trees.otrees.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/zutil.ozutil.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/compress.ocompress.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/uncompr.ouncompr.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/gzclose.ogzclose.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/gzlib.ogzlib.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/gzread.ogzread.cgcc-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-DPIC-c-oobjs/gzwrite.ogzwrite.cgcc-shared-Wl,-soname,libz.so.1,--version-script,zlib.map-O3-fPIC-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-olibz.so.1.2.7adler32.locrc32.lodeflate.loinfback.loinffast.loinflate.loinftrees.lotrees.lozutil.locompress.louncompr.logzclose.logzlib.logzread.logzwrite.lo-lcrm-flibz.solibz.so.1ln-slibz.so.1.2.7libz.soln-slibz.so.1.2.7libz.so.1gcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-oexampleshexample.o-L.libz.so.1.2.7gcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-ominigzipshminigzip.o-L.libz.so.1.2.7gcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-I.-D_FILE_OFFSET_BITS=64-c-oexample64.otest/example.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-oexample64example64.o-L.libz.agcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-I.-D_FILE_OFFSET_BITS=64-c-ominigzip64.otest/minigzip.cgcc-O3-D_LARGEFILE64_SOURCE=1-DHAVE_HIDDEN-ominigzip64minigzip64.o-L.libz.acplibz.a/usr/local/libchmod644/usr/local/lib/libz.acplibz.so.1.2.7/usr/local/libchmod755/usr/local/lib/libz.so.1.2.7cpzlib.3/usr/local/share/man/man3chmod644/usr/local/share/man/man3/zlib.3cpzlib.pc/usr/local/lib/pkgconfigchmod644/usr/local/lib/pkgconfig/zlib.pccpzlib.hzconf.h/usr/local/includechmod644/usr/local/include/zlib.h/usr/local/include/zconf.h
2:添加用户组clamav和组成员clamav[root@LNX17zlib-1.2.7]#groupaddclamav[root@LNX17zlib-1.2.7]#useradd-gclamav-s/bin/false-c"ClamAntiVirus"clamav[root@LNX17zlib-1.2.7]#
3:安装Clamav-0.97.6[root@LNX17tmp]#tarxvzfclamav-0.97.6.tar.gz[root@LNX17tmp]#cdclamav-0.97.6[root@LNX17clamav-0.97.6]#./configure--prefix=/opt/clamav--disable-clamav[root@LNX17clamav-0.97.6]#make[root@LNX17clamav-0.97.6]#makeinstall
配置Clamav
1:创建目录[root@LNX17clamav-0.97.6]#mkdir/opt/clamav/logs[root@LNX17clamav-0.97.6]#mkdir/opt/clamav/updata
2:创建文件[root@LNX17clamav-0.97.6]#touch/opt/clamav/logs/freshclam.log[root@LNX17clamav-0.97.6]#touch/opt/clamav/logs/clamd.log[root@LNX17clamav-0.97.6]#[root@LNX17clamav-0.97.6]#cd/opt/clamav/logs[root@LNX17clamav]#cdlogs[root@LNX17logs]#lsclamd.logfreshclam.log[root@LNX17logs]#ls-lrttotal0-rw-r--r--.1rootroot0Aug2122:10freshclam.log-rw-r--r--.1rootroot0Aug2122:10clamd.log
3:修改属主[root@LNX17logs]#chownclamav:clamavclamd.log[root@LNX17logs]#chownclamav:clamavfreshclam.log[root@LNX17logs]#ls-lrttotal0-rw-r--r--.1clamavclamav0Aug2122:10freshclam.log-rw-r--r--.1clamavclamav0Aug2122:10clamd.log[root@LNX17logs]#
4:修改配置文件
#vi/opt/clamav
/etc/clam.conf
#Example注释掉这一行.第8行
LogFile/opt/clamav/logs/clamd.log删掉前面的注释目录改为/opt/clamav/logs/clamd.log
PidFile/opt/clamav/updata/clamd.pid删掉前面的注释路径改为/opt/clamav/updata/clamd.pid
DatabaseDirectory/opt/clamav/updata同上
#vi/opt/clamav
/etc/clamfreshclam.conf,将Example这一行注释掉。否则在更新反病毒数据库是就有可能出现下面错误
[root@LNX17clamav]#/opt/clamav/bin/freshclam
ERROR:Pleaseedittheexampleconfigfile/opt/clamav/etc/freshclam.conf
ERROR:Can'topen/parsetheconfigfile/opt/clamav/etc/freshclam.conf
5:升级病毒库
[root@LNX17etc]#/opt/clamav/bin/freshclam
ERROR:Can'tchangedirto/opt/clamav/share/clamav
出现上面错误,直接创建一个文件夹并授权给clamav用户即可。
[code][root@LNX17etc]#mkdir-p/opt/clamav/share/clamav[root@LNX17etc]#chownclamav:clamav/opt/clamav/share/clamav[root@LNX17etc]#[root@LNX17etc]#/opt/clamav/bin/freshclamClamAVupdateprocessstartedatFriAug2122:42:182015WARNING:YourClamAVinstallationisOUTDATED!WARNING:Localversion:0.97.6Recommendedversion:0.98.7DON'TPANIC!Read nonblock_connect:'target='_blank'>http://www.clamav.net/support/faqnonblock_connect:connecttimingout(30secs)Can'tconnecttoport80ofhostdatabase.clamav.net(IP:211.239.150.206)Tryinghostdatabase.clamav.net(120.29.176.126)...nonblock_recv:recvtimingout(30secs)WARNING:getfile:Downloadinterrupted:Operationnowinprogress(IP:120.29.176.126)WARNING:Can'tdownloadmain.cvdfromdatabase.clamav.netTryingagainin5secs...ClamAVupdateprocessstartedatFriAug2123:03:322015WARNING:YourClamAVinstallationisOUTDATED!WARNING:Localversion:0.97.6Recommendedversion:0.98.7DON'TPANIC!Read Downloading'target='_blank'>http://www.clamav.net/support/faqDownloadingmain.cvd[100%]main.cvdupdated(version:55,sigs:2424225,f-level:60,builder:neo)Downloadingdaily.cvd[100%]daily.cvdupdated(version:20817,sigs:1537382,f-level:63,builder:neo)Downloadingbytecode.cvd[100%]bytecode.cvdupdated(version:268,sigs:47,f-level:63,builder:anvilleg)Databaseupdated(3961654signatures)fromdatabase.clamav.net(IP:219.94.128.99)
由于ClamAV不是最新版本,所以有告警信息。可以忽略或升级最新版本。病毒库需要定期升级,例如我第二天升级病毒库[root@LNX17~]#/opt/clamav/bin/freshclamClamAVupdateprocessstartedatMonAug2410:10:252015WARNING:YourClamAVinstallationisOUTDATED!WARNING:Localversion:0.97.6Recommendedversion:0.98.7DON'TPANIC!Read main.cvd'target='_blank'>http://www.clamav.net/support/faqmain.cvdisuptodate(version:55,sigs:2424225,f-level:60,builder:neo)Downloadingdaily-20818.cdiff[100%]Downloadingdaily-20819.cdiff[100%]Downloadingdaily-20820.cdiff[100%]Downloadingdaily-20821.cdiff[100%]Downloadingdaily-20822.cdiff[100%]Downloadingdaily-20823.cdiff[100%]Downloadingdaily-20824.cdiff[100%]Downloadingdaily-20825.cdiff[100%]Downloadingdaily-20826.cdiff[100%]Downloadingdaily-20827.cdiff[100%]Downloadingdaily-20828.cdiff[100%]Downloadingdaily-20829.cdiff[100%]daily.cldupdated(version:20829,sigs:1541624,f-level:63,builder:neo)bytecode.cvdisuptodate(version:268,sigs:47,f-level:63,builder:anvilleg)Databaseupdated(3965896signatures)fromdatabase.clamav.net(IP:203.178.137.175)
6:ClamAV使用
可以使用/opt/clamav/bin/clamscan-h查看相应的帮助信息
·扫描所有用户的主目录就使用clamscan-r/home
·扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用clamscan-r/
·扫描您计算机上的所有文件并且显示有问题的文件的扫描结果,就使用clamscan-r--bell-i/
执行下面命令扫描根目录下面的所有文件。如下所示:56个文件被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。
/opt/clamav/bin/clamscan-r--bell-i
手工删除这些文件。然后重新扫描一下,发现木马已经被清理完成。但是按照网上资料进一步查找发现木马启动程序[root@LNX17~]#cd/etc/init.d/[root@LNX17init.d]#lsDb*DbSecurityMdtDbSecuritySpt[root@LNX17init.d]#lssel*selinux[root@LNX17init.d]#moreselinux#!/bin/bash/usr/bin/bsd-port/getty[root@LNX17init.d]#moreDbSecuritySpt#!/bin/bash/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys[root@LNX17init.d]#moreDbSecurityMdt#!/bin/bash/root/cmy6[root@LNX17init.d]#moreDbSecurityMdt#!/bin/bash/root/cmy6[root@LNX17bin]#lsbsd*agent.confcmd.nconf.ngetty.lock[root@LNX17bin]#cdbsd-port/[root@GETLNX17bsd-port]#lsagent.confcmd.nconf.ngetty.lock[root@LNX17bsd-port]#moreagent.conf3341[root@LNX17bsd-port]#moregetty.lock1013[root@LNX17bsd-port]#cd..[root@LNX17bin]#rm-rfbsd-port
此时在用nethogs监控进程的网络流量,发现已经没有异常进程了,应该算是彻底清除了。
关于Linux.Backdoor.Gates,看到一篇介绍资料了相关内容:Linux.BackDoor.Gates.5——又一针对Linux的木马,具体内容如下所示:
------------------------------------------------------------------------------------------------------------------------------某些用户有一种根深蒂固的观念,就是目前没有能够真正威胁Linux内核操作系统的恶意软件,然而这种观念正在面临越来越多的挑战。与4月相比,2014年5月DoctorWeb公司的技术人员侦测到的Linux恶意软件数量创下了新纪录,六月份这些恶意软件名单中又增加了一系列新的Linux木马,这一新木马家族被命名为Linux.BackDoor.Gates。
在这里描述的是恶意软件家族Linux.BackDoor.Gates中的一个木马:Linux.BackDoor.Gates.5,此恶意软件结合了传统后门程序和DDoS攻击木马的功能,用于感染32位Linux版本,根据其特征可以断定,是与Linux.DnsAmp和Linux.DDoS家族木马同出于一个病毒编写者之手。新木马由两个功能模块构成:基本模块是能够执行不法分子所发指令的后门程序,第二个模块在安装过程中保存到硬盘,用于进行DDoS攻击。Linux.BackDoor.Gates.5在运行过程中收集并向不法分子转发受感染电脑的以下信息:
CPU核数(从/proc/cpuinfo读取)。
CPU速度(从/proc/cpuinfo读取)。
CPU使用(从/proc/stat读取)。
Gate'a的IP(从/proc/net/route读取)。
Gate'a的MAC地址(从/proc/net/arp读取)。
网络接口信息(从/proc/net/dev读取)。
网络设备的MAC地址。
内存(使用/proc/meminfo中的MemTotal参数)。
发送和接收的数据量(从/proc/net/dev读取)。
操作系统名称和版本(通过调用uname命令)。
启动后,Linux.BackDoor.Gates.5会检查其启动文件夹的路径,根据检查得到的结果实现四种行为模式。
如果后门程序的可执行文件的路径与netstat、lsof、ps工具的路径不一致,木马会伪装成守护程序在系统中启动,然后进行初始化,在初始化过程中解压配置文件。配置文件包含木马运行所必须的各种数据,如管理服务器IP地址和端口、后门程序安装参数等。
根据配置文件中的g_iGatsIsFx参数值,木马或主动连接管理服务器,或等待连接:成功安装后,后门程序会检测与其连接的站点的IP地址,之后将站点作为命令服务器。
木马在安装过程中检查文件/tmp/moni.lock,如果该文件不为空,则读取其中的数据(PID进程)并“干掉”该ID进程。然后Linux.BackDoor.Gates.5会检查系统中是否启动了DDoS模块和后门程序自有进程(如果已启动,这些进程同样会被“干掉”)。如果配置文件中设置有专门的标志g_iIsService,木马通过在文件/etc/init.d/中写入命令行#!/bin/bash\n<path_to_backdoor>将自己设为自启动,然后Linux.BackDoor.Gates.5创建下列符号链接:
ln-s/etc/init.d/DbSecuritySpt/etc/rc1.d/S97DbSecuritySpt
ln-s/etc/init.d/DbSecuritySpt/etc/rc2.d/S97DbSecuritySpt
ln-s/etc/init.d/DbSecuritySpt/etc/rc3.d/S97DbSecuritySpt
ln-s/etc/init.d/DbSecuritySpt/etc/rc4.d/S97DbSecuritySpt
如果在配置文件中设置有标志g_bDoBackdoor,木马同样会试图打开/root/.profile文件,检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段,Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本,命名为配置文件中设置的相应名称,并取代下列工具:
/bin/netstat
/bin/lsof
/bin/ps
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
木马以此完成安装,并开始调用基本功能。
执行另外两种算法时木马同样会伪装成守护进程在被感染电脑启动,检查其组件是否通过读取相应的.lock文件启动(如果未启动,则启动组件),但在保存文件和注册自启动时使用不同的名称。
与命令服务器设置连接后,Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。按照不法分子的指令,木马能够实现自动更新,对指定IP地址和端口的远程站点发起或停止DDoS攻击,执行配置数据所包含的命令或通过与指定IP地址的远程站点建立连接来执行其他命令。
此后门程序的主要DDoS攻击目标是中国的服务器,然而不法分子攻击对象也包括其他国家。下图为利用此木马进行的DDoS攻击的地理分布:
参考资料:http://blog.csdn.net/liukeforever/article/details/38560363 /article/4241590.html http://blog.csdn.net/liukeforever/article/details/38560363 http://bbs.appstar.com.cn/thread-10205-1-1.html http://yangrong083.blog.163.com/blog/static/113406097201371235159424/
相关文章推荐
- Linux系统、版本、CPU、内存查看、硬盘空间
- linux连接状态查询
- Linux下常用开发工具
- Linux命令: find命令的使用方法
- mysql在linux及windows上安装及远程连接
- clock(), sleep(), Sleep()在windows和Linux的区别
- Linux文件权限
- 理解 Linux 的硬链接与软链接
- linux中搭建SVN服务器(CentOs6.5)
- Linux 文件操作
- Linux下安装Python3
- Linux基础命令
- linux 日常命令(磁盘空间)
- Ubuntu11.04安装、配置samba
- Linux关机及重启指令对比
- Linux Ubuntu server安装Java JDK1.7_55
- linux note
- linux环境下jdk相关的出现中文乱码
- linux下安装eaccelerator加速php执行效率
- Linux的inode、软链接、硬链接